Il Regolamento Generale sulla Protezione dei Dati (GDPR) è entrato in vigore il 25 maggio del 2018 e ci fornisce nuove norme sulla protezione dei dati personali che puntano a due obiettivi principali:
- dare ai cittadini europei un controllo completo sui propri dati personali;
- semplificare il quadro normativo per le imprese che gestiscono tali dati.
In Italia è stato recepito dal D.Lgs. 101/2018, che ha radicalmente modificato il codice privacy (D.Lgs. 196/2003) per adeguarlo alla nuova realtà Europea.
GDPR: quali novità in azienda?
Le principali novità introdotte dal GDPR sono dedicate alla creazione di un sistema aziendale sicuro per il trattamento dati personali attraverso la responsabilizzazione dei soggetti coinvolti e l’implementazione di nuovi processi organizzativi.
Obiettivo che si raggiunge attraverso l’introduzione e l’applicazione di due nuovi principi in azienda:
- Il principio di responsabilizzazione e dovere di rendicontazione (accountability) secondo il quale, il titolare del trattamento è obbligato a mettere in atto “misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento”.
- La formazione e l’istruzione del Titolare, del Responsabile, e dei soggetti autorizzati al trattamento: vere e proprie misure di sicurezza, indispensabili a tutelare il nostro business, come vedremo meglio in seguito.
A integrare la responsabilizzazione del titolare intervengono i nuovi principi di privacy by design e privacy by default, che impongono l’adozione di misure di protezione fin dalla fase di progettazione del trattamento, oltre a minimizzare l’utilizzo dei dati all’utilizzo per delle finalità specifiche.
Viene poi introdotto l’obbligo per il Titolare di tenere un registro delle attività di trattamento che contiene tutte le informazioni e i documenti prescritti dal regolamento. Chiunque effettui un trattamento dati nell’esercizio della propria attività lavorativa, deve tenere tali registri.
Tra le novità risulta degno di nota l’obbligo della DPIA (Data Protection Impact Assessment) che consiste in una valutazione del rischio da effettuare su alcune tipologie ti trattamento dei dati.
GDPR: che cosa stiamo facendo in Italia?
Da una ricerca dell’Information Security & Privacy della School Of Management del Politecnico di Milano, emerge un dato tanto sconvolgente quanto didascalico di come venga gestito da parte delle aziende italiane l’adeguamento normativo e organizzativo al regolamento europeo sul trattamento dei dati personali.
Dallo studio emerge che dal 25 maggio 2018, data in cui il regolamento è entrato in vigore, solo il 23% delle imprese italiane ad oggi si è adeguata al GDPR.
Il dato coincide perfettamente con quanto emerso dal rapporto «The Cyber Security Imperative» elaborato da Esi ThoughtLab in collaborazione con Willis Towers Watson e altre aziende specializzate in sicurezza e gestione del rischio. Secondo questo rapporto, infatti, il principale rischio informatico per l’87% delle aziende è rappresentato dal proprio personale inesperto, noncurante, né formato sulla materia.
La principale vulnerabilità è dunque costituita dal comportamento umano: distrazione, scarsa consapevolezza dei dipendenti e mancanza di un processo organizzativo di gestione dei dati personali.
Seguono tra le principali criticità: sistemi IT obsoleti o eterogenei e aggiornamenti e patch non effettuati regolarmente.
Sicurezza e Privacy: che cosa stiamo rischiando?
Dall’entrata in vigore del regolamento generale europeo sono state registrate più di 59 mila violazioni della sicurezza di dati personali, sensibili, protetti e riservati, o casi di data breach. Per l’esattezza, dal 25 maggio 2018, data di entrata in vigore del GDPR, al 28 gennaio 2019, il Report DLA Piper sulle violazioni del regolamento europeo sulla privacy ha raccolto ben 59.430 data breach.
Secondo l’analisi, le principali finalità dei cyber attacchi subiti dalle imprese sono truffe come il phishing (83%) e le estorsioni (78%), poi intrusione a scopo di spionaggio (46%) e interruzione di servizio (36%). Ma nei prossimi tre anni le aziende temono soprattutto spionaggio (55%), truffe (51%), influenza e manipolazione dell’opinione pubblica (49%), acquisizione del controllo di sistemi come impianti di produzione (40%).
GDPR: sanzioni in arrivo!
Il GDPR prevede sanzioni amministrative pecuniarie non trascurabili che possono raggiungere i 20 milioni di euro o, se superiore, il 4% del fatturato mondiale.
Ad oggi, tralasciando il caso dei 50 milioni di euro che Google è stata chiamata a pagare, possono essere presi ad esempio alcuni tipi di sanzioni erogate dal garante, come 20 mila euro per le aziende che non hanno protetto adeguatamente le password dei dipendenti, oppure da 4.800 euro per un sistema di telecamere a circuito chiuso non autorizzato.
Il secondo semestre del 2019, superata la fase di adeguamento della direttiva che è ancora evidentemente in corso in gran parte dei Paesi dell’Unione, vedrà un aumento sensibile delle multe per violazione del GDPR, potenzialmente per centinaia di milioni di euro complessivi.
GDPR: Che cosa possiamo fare in azienda?
Per minimizzare il rischio di perdita di dati ed evitare le sanzioni del Garante, le imprese devono soddisfare tutti i requisiti organizzativi previsti dal GDPR e avviare piani di formazione del personale, oltre a valutare la necessità dell’implementazione della figura del Data Protection Officer (Responsabile Protezione Dati).
Ecol Studio, avvalendosi di consulenti privacy specializzati, offre ai propri clienti la possibilità di conformarsi facilmente e velocemente al GDPR, offrendo tutto il supporto necessario per completare gli adempimenti, ottimizzando la gestione della privacy in modo strategico, efficace ed efficiente.
Ecco che cosa possiamo fare insieme, un passo alla volta:
- È sufficiente fissare un primo incontro, durante il quale i nostri consulenti analizzano la realtà aziendale del cliente con un audit dedicato, in modo da personalizzare il servizio sulle reali criticità riscontrate.
- Una volta studiate le necessità e gli attuali processi organizzativi del cliente, viene redatto un manuale sulla sicurezza e gestione del trattamento dei dati personali, nel quale vengono evidenziate le tipologie di dati ed i trattamenti effettuati, l’individuazione delle adeguate misure di sicurezza, la descrizione delle necessarie procedure di DPIA, gestione e comunicazione data breach e valutazione di necessità del DPO con eventuale nomina.
- Viene poi formulato l’organigramma aziendale in materia di privacy, con individuazione dei soggetti coinvolti nel trattamento interni o esterni all’azienda: titolari, contitolari, responsabili, sub-responsabili, terzi autorizzati, ecc.
- In base alla struttura data all’organigramma, vengono redatti i documenti necessari alla nomina dei soggetti coinvolti, i relativi disciplinari e tutti gli altri documenti di cui l’azienda deve obbligatoriamente essere fornita come: privacy policy dei siti aziendali, informative per clienti e fornitori, informative per dipendenti, modelli di raccolta del consenso per finalità di marketing, registro dei trattamenti e quant’altro risulti necessario.
- Qualora gli immobili aziendali siano dotati di un impianto di videosorveglianza non ancora autorizzato da accordo sindacale o dall’ispettorato nazionale del lavoro ai sensi dell’art. 4 della Legge 300 del 1970, i consulenti possono provvedere alla redazione di tutta la documentazione necessaria per la messa in regola.
Non c’è Sicurezza senza Formazione
Tuttavia, un’organizzazione sicura, efficace ed efficiente che abbia provveduto a mettersi in regola seguendo questa procedura, ancora non può definirsi sicura.
Infatti, come emerso dal rapporto «The Cyber Security Imperative» precedentemente citato, è necessario formare tutto il personale che tratta dati personali nell’esercizio delle proprie funzioni lavorative per evitare che gli stessi, qualora impreparati, rechino danni all’azienda, come appunto accade nell’87% dei casi.
La formazione quindi, oltre ad essere obbligatoriamente prevista dagli artt. 29 e 32 del GDPR, è fondamentale per ridurre drasticamente il verificarsi di errori che, come abbiamo visto, possono risultare molto costosi.
Per gestire in modo efficace ed efficiente tutti gli aspetti relativi alla sicurezza e alla privacy, Ecol Studio organizza corsi di formazione dedicati alle aziende, personalizzabili in base alle realtà societarie e sempre finalizzati alla comprensione del regolamento europeo e all’individuazione, da parte dei soggetti coinvolti nel trattamento, delle proprie funzioni e responsabilità.
Insieme, rendiamo sicuro il tuo business
L’adeguamento normativo da un punto di vista sia documentale che organizzativo, unito alla piena comprensione della normativa e dei suoi processi, grazie a una formazione completa di tutti i soggetti coinvolti, garantiscono alle aziende partner Ecol Studio una piena Compliance al GDPR, proteggendole sia da sanzioni del Garante sia da costosi errori dei collaboratori o da intrusioni esterne, e fornendo nuovi strumenti fondamentali per lo sviluppo del proprio business.
Se hai bisogno di maggiori informazioni o desideri fissare un primo incontro gratuito con il nostro esperto Cristiano Luppichini, puoi chiamarci al numero 0583 40011 o scrivere a privacy@ecolstudio.com
Un mondo migliore, e più sicuro, insieme è possibile!
